Abo
  • Services:

Paketmanager: Homebrew vergisst Zugangstoken auf öffentlichem Server

Beim beliebten Paketmanager Homebrew für MacOS ist es möglich gewesen, unbefugt Commits im offiziellen Github-Repo des Projekts einzufügen. Grund war ein öffentlich einsehbarer Github-API-Token.

Artikel veröffentlicht am ,
Github-API-Token in der öffentlichen Jenkins-Instanz des Homebrew-Projekts.
Github-API-Token in der öffentlichen Jenkins-Instanz des Homebrew-Projekts. (Bild: Eric Holmes)

Der Entwickler Eric Holmes hat in der öffentlich zugänglichen Jenkins-Instanz des Homebrew-Projekts einen Zugangstoken für das Github-Verzeichnis des weitverbreiteten Paketmanagers für MacOS gefunden. Damit war es ihm eigenen Angaben zufolge möglich, Schreibrechte für die zentralen Repos 'brew', 'homebrew-core' und 'formulae.brew.sh' zu erlangen und eigene Commits einzustellen.

Stellenmarkt
  1. INSYS MICROELECTRONICS GmbH, Regensburg
  2. Hans Soldan GmbH, Essen

"Ich bin mit dem Ziel herangegangen zu schauen, ob ich mir Zugang zum Github-Repository von Homebrew verschaffen kann. Nur 30 Minuten später habe ich meinen ersten Commit in Homebrew/homebrew-core eingestellt", schreibt Holmes auf dem Blogging-Portal Medium. Auf seiner Suche habe er die offenbar bewusst öffentlich zugängliche Jenkins-Instanz des Projekts gefunden und sei dort schnell auf einen API-Token für Github aufmerksam geworden. Dieser gewährte ihm volle Commit-Rechte auf die zentralen Github-Repos von Homebrew.

Ein lohnendes Angriffsziel

Paketmanager spielen eine zentrale Rolle bei der sicheren Verteilung und Aktualisierung von Software über das Internet. "Homebrew hat Hunderttausende von Nutzern, einschließlich in einigen der größten Silicon-Valley-Firmen. Das am häufigsten installierte Paket der vergangenen 30 Tage ist Openssl mit über 500.000 Downloads", schreibt Holmes. "Wenn ich Böses gewollt hätte, hätte ich mit einer kleinen, wahrscheinlich unbemerkten Änderung an der Installationsformel des Openssl-Pakets eine Hintertür auf jedem Gerät platzieren können, das Openssl installiert." Diese Art von "Supply-Chain-Attacken" seien eine echte und andauernde Bedrohung. Obwohl der Fehler klar bei Homebrew liegt, ist dies Holmes zufolge keine Homebrew-spezifische Schwäche. Es handele sich stattdessen um ein systemisches Problem der Softwareindustrie. Die IT-Sicherheitsforschung müsse sich mehr mit Paketmanagern beschäftigen, schreibt er.

Problem schnell gelöst

Durch Holmes informiert, widerrief das Homebrew-Team den Zugangstoken offenbar innerhalb weniger Stunden. In einem Security Advisory heißt es außerdem, keines der Pakete im Repository sei kompromittiert worden. "Wir haben den Github-Support kontaktiert und sie haben überprüft, dass der betroffene Token nicht benutzt wurde, um irgendwelchen Code in die Repositories zu pushen."

Zudem seien weitere, in die Zukunft gerichtete Sicherheitsmaßnahmen ergriffen worden. Das Projekt nutze nun Branch Protection, eine Github-Funktion die nicht korrigierbare Code-Änderungen verhindert, und habe Zwei-Faktor-Authentifizierung via SMS deaktiviert. Holmes Empfehlung, in Zukunft auch auf GPG-signierten Code zu setzen, habe das Homebrew-Team aber als zu unpraktikabel verworfen.



Anzeige
Top-Angebote
  1. 49,00€ (Bestpreis!)
  2. (u. a. John Wick, Sicario, Deepwater Horizon, Die große Asterix Edition, Die Tribute von Panem)
  3. (heute u. a. Creative PC-Lautsprecher 99,90€, Samsung UE-65NU7449 TV 1199,00€)

bioharz 09. Aug 2018

Ja, Windows ist unpraktibalel für Entwickler. Sie sollten vielleicht in Erwägung ziehen...

mcnesium 08. Aug 2018

Heute gewinnt auf jeden Fall das hier.


Folgen Sie uns
       


Hallo Magenta - Präsentation auf der Ifa 2018

Auf der Ifa 2018 hat die Deutsche Telekom ihren eigenen smarten Assistenten gezeigt. Er läuft auf einem ebenfalls selbst entwickelten smarten Lautsprecher und soll zunächst trainiert werden. Telekom-Kunden können an einem Test teilnehmen und erhalten dafür den Lautsprecher kostenlos.

Hallo Magenta - Präsentation auf der Ifa 2018 Video aufrufen
LittleBits Hero Inventor Kit: Die Lizenz zum spaßigen Lernen
LittleBits Hero Inventor Kit
Die Lizenz zum spaßigen Lernen

LittleBits gehört mittlerweile zu den etablierten und erfolgreichen Anbietern für Elektronik-Lehrkästen. Für sein neues Set hat sich der Hersteller eine Lizenz von Marvel Comics gesichert. Versucht LittleBits mit den berühmten Superhelden von Schwächen abzulenken? Wir haben es ausprobiert.
Von Alexander Merz


    Kaufberatung: Der richtige smarte Lautsprecher
    Kaufberatung
    Der richtige smarte Lautsprecher

    Der Markt für smarte Lautsprecher wird immer größer. Bei der Entscheidung für ein Gerät sind Kaufpreis und Klang wichtig, ebenso die Wahl für einen digitalen Assistenten: Alexa, Google Assistant oder Siri? Wir geben eine Übersicht.
    Von Ingo Pakalski

    1. Amazon Alexa Echo Sub verhilft Echo-Lautsprechern zu mehr Bass
    2. Beosound 2 Bang & Olufsen bringt smarten Lautsprecher für 2.000 Euro
    3. Google und Amazon Markt für smarte Lautsprecher wächst weiter stark

    Desktops: Unnötige Sicherheitsrisiken mit Linux
    Desktops
    Unnötige Sicherheitsrisiken mit Linux

    Um Vorschaubilder von obskuren Datenformaten anzeigen zu lassen, gehen Entwickler von Linux-Desktops enorme Sicherheitsrisiken ein. Das ist ärgerlich und wäre nicht nötig.
    Ein IMHO von Hanno Böck

    1. Red Hat Stratis 1.0 bringt XFS etwas näher an Btrfs und ZFS
    2. Nettools Systemd-Entwickler zeigen Werkzeuge zur Netzkonfiguration
    3. Panfrost Freier Linux-GPU-Treiber läuft auf modernen Mali-GPUs

      •  /